Spring Boot+Spring Security+MySql实现用户权限管理(1)

Demo具体实现效果

微信截图_20180515125348.png

微信截图_20180515125528.png

Spring Security

spring security做的两件重要事情:认证(authentication

)和授权(authorization)

认证过程

  1. 用户使用用户名和密码进行登录。
  2. Spring Security将获取到的用户名和密码封装成一个Authentication接口的实现类,比如常用的UsernamePasswordAuthenticationToken。
  3. 将上述产生的Authentication对象传递给AuthenticationManager的实现类ProviderManager进行认证。
  4. ProviderManager依次调用各个AuthenticationProvider进行认证,认证成功后返回一个封装了用户权限等信息的Authentication对象。
  5. 将AuthenticationManager返回的Authentication对象赋予给当前的SecurityContext。

安全配置类

通过继承WebSecurityConfigurerAdapter类实现具体基于表单的安全配置
下面介绍Demo具体使用到的方法

configure(HttpSecurity http)方法的默认配置(取自官方文档)如下:
protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .anyRequest().authenticated()
            .and()
        .formLogin()
            .and()
        .httpBasic();
}

1.确保对我们应用程序的任何请求都要求用户进行身份验证。

2.允许用户通过基于表单的登录进行身份验证。

3.允许用户通过HTTP基本身份验证进行身份验证。

又如:


protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .anyRequest().authenticated()
            .and()
        .formLogin()
            .loginPage("/login") 
            .permitAll();      

授予所有用户(即未经身份验证的用户)访问我们的登录页面。formLogin(). permitall()方法允许为所有与表单相关的url提供访问权限。

对其它URL进行配置:

protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()                                                                []
            .antMatchers("/resources/**", "/signup", "/about").permitAll()             
            .antMatchers("/admin/**").hasRole("ADMIN")                                      
            .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")          
            .anyRequest().authenticated()                                                   
            .and()
        // ...
        .formLogin();
}

对于http.authorizeRequests()方法有多个子类,每个matcher都按照声明的顺序被考虑我们指定了任何用户可以访问的多个URL模式。

具体来说,如果URL以“/resources/”开头,那么任何用户都可以访问请求,等于“/signup”,或等于“/about”。

任何以“/admin/”开头的URL将被限制为具有“ROLE_ADMIN”角色的用户。您将注意到,由于我们正在调用hasRole方法,所以不需要指定“ROLE_”前缀。

任何以“/db/”开头的URL都要求用户同时拥有“ROLE_ADMIN”和“ROLE_DBA”。您将注意到,由于我们使用的是hasRole表达式,所以不需要指定“ROLE_”前缀。任何未被匹配的URL只需要验证用户。

注销用户的实现:

protected void configure(HttpSecurity http) throws Exception {
    http
        .logout()                                                                
            .logoutUrl("/my/logout")                                                 
            .logoutSuccessUrl("/my/index")                                           
            .logoutSuccessHandler(logoutSuccessHandler)                              
            .invalidateHttpSession(true)                                             
            .addLogoutHandler(logoutHandler)                                         
            .deleteCookies(cookieNamesToClear)                                       
            .and()

}

提供注销的支持。这是在使用WebSecurityConfigurerAdapter时自动应用的。

触发注销的URL(默认是/注销)。如果启用了CSRF保护(默认),那么请求也必须是一个POST。有关更多信息,请参考JavaDoc。

已发生注销后重定向的URL。默认是/my/logout。有关更多信息,请参考JavaDoc。

让我们来指定一个自定义的登录成功程序。如果指定了,则忽略logoutSuccessUrl()。有关更多信息,请参考JavaDoc。

指定在注销时是否使HttpSession失效。这在默认情况下是正确的。在覆盖下配置SecurityContextLogoutHandler。有关更多信息,请参考JavaDoc。

添加一个LogoutHandler。在默认情况下,SecurityContextLogoutHandler被添加为最后一个LogoutHandler。

允许指定在注销成功时删除cookie的名称。这是一个显式添加CookieClearingLogoutHandler的快捷方式。

configure(AuthenticationManagerBuilder auth)方法

具体实现auth.userDetailsService方法
源自文档:

public <T extends UserDetailsService> DaoAuthenticationConfigurer<AuthenticationManagerBuilder, T> userDetailsService(T userDetailsService) throws Exception {
        this.defaultUserDetailsService = userDetailsService;
        return (DaoAuthenticationConfigurer)this.apply(new DaoAuthenticationConfigurer(userDetailsService));
    }

基于传入的自定义UserDetailsService添加身份验证。然后它返回一个DaoAuthenticationConfigurer,以允许对身份验证进行定制。

该方法还确保UserDetailsService可以用于getDefaultUserDetailsService()方法。注意,附加的UserDetailsService可能会将这个UserDetailsService重写为默认值。

下一节结合Mysql实现具体用户认证和授权

阅读更多

没有更多推荐了,返回首页